Kostenlos scannen
MEDIUMCVE-2026-5998CVSS 5.3

zhayujie chatgpt-on-wechat CowAgent API Memory Content Endpoint service.py Pfadüberschreitung

Plattform

python

Komponente

zhayujie-chatgpt-on-wechat

Behoben in

2.0.1

2.0.2

2.0.3

2.0.4

2.0.5

AI Confidence: highNVDEPSS 0.1%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-5998 is a Path Traversal vulnerability affecting zhayujie CowAgent versions 2.0.0 through 2.0.5. This flaw resides within the file agent dispatch functionality, allowing attackers to potentially access sensitive files through manipulation of the filename argument. Successful exploitation can be initiated remotely, and a proof-of-concept is publicly available. Upgrade to version 2.0.5 to resolve this issue.

Python

Erkenne diese CVE in deinem Projekt

Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

requirements.txt hochladenUnterstützte Formate: requirements.txt · Pipfile.lock

Auswirkungen und Angriffsszenarien

Eine Pfadüberschreitungs-Schwachstelle (Path Traversal Vulnerability) wurde in zhayujie chatgpt-on-wechat CowAgent entdeckt, die Versionen bis einschließlich 2.0.4 betrifft. Diese Schwachstelle befindet sich in der Dateidispatch-Funktion des API Memory Content Endpoint-Komponenten (gelegen in agent/memory/service.py). Ein Angreifer kann das Argument 'filename' manipulieren, um auf Dateien außerhalb des vorgesehenen Verzeichnisses zuzugreifen, wodurch möglicherweise die Vertraulichkeit und Integrität des Systems gefährdet werden. Die Schwere der Schwachstelle wird gemäß CVSS mit 5.3 bewertet. Die Fernzugriffsfähigkeit der Attacke und die Veröffentlichung eines verfügbaren Exploits erhöhen das Risiko erheblich. Diese Schwachstelle könnte es einem Angreifer ermöglichen, sensible Dateien zu lesen oder sogar bösartigen Code auf dem Server auszuführen.

Ausnutzungskontext

Die CVE-2026-5998-Schwachstelle in CowAgent wird ausgenutzt, indem der Parameter 'filename' im API Memory Content Endpoint manipuliert wird. Ein Angreifer kann eine bösartige URL erstellen, die Sequenzen wie '..' enthält, um außerhalb des erwarteten Verzeichnisses zu navigieren und auf beliebige Dateien im Dateisystem des Servers zuzugreifen. Die Verfügbarkeit eines öffentlichen Exploits erleichtert die Ausnutzung dieser Schwachstelle und erhöht das Risiko von Angriffen. Es wird empfohlen, die Systemprotokolle auf verdächtige Aktivitäten zu überwachen und zusätzliche Sicherheitsmaßnahmen zu ergreifen, um das Risiko zu mindern.

Wer Ist Gefährdetwird übersetzt…

Organizations utilizing CowAgent for integration with WeChat, particularly those with exposed API endpoints, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user could potentially exploit this vulnerability to access files belonging to other users.

Erkennungsschrittewird übersetzt…

• python / server:

# Check for vulnerable versions
python -c 'import cowagent; print(cowagent.__version__)'

• generic web:

# Check for endpoint exposure and suspicious requests
curl -I http://<target>/api/memory/content
# Look for unusual characters in the URL, such as '../'

Angriffszeitlinie

  1. Disclosure

    disclosure

  2. Patch

    patch

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.06% (20% Perzentil)

CISA SSVC

Ausnutzungpoc
Automatisierbaryes
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:O/RC:C5.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Keine — kein Integritätseinfluss.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentezhayujie-chatgpt-on-wechat
Herstellerzhayujie
Betroffener BereichBehoben in
2.0.0 – 2.0.02.0.1
2.0.1 – 2.0.12.0.2
2.0.2 – 2.0.22.0.3
2.0.3 – 2.0.32.0.4
2.0.4 – 2.0.42.0.5

Schwachstellen-Klassifikation (CWE)

CWE-22

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. EPSS aktualisiert

Mitigation und Workarounds

Die empfohlene Lösung zur Minderung dieser Schwachstelle ist das Upgrade auf Version 2.0.5 von zhayujie chatgpt-on-wechat CowAgent. Diese Version enthält eine Korrektur (Patch) mit der Kennung 174ee0cafc9e8e9d97a23c305418251485b8aa89, die die Manipulation des Arguments 'filename' direkt behebt und Pfadüberschreitungen verhindert. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um Ihr System vor potenziellen Angriffen zu schützen. Beachten Sie die offizielle CowAgent-Dokumentation für detaillierte Anweisungen, wie Sie das Upgrade durchführen. Überprüfen Sie außerdem die Sicherheitseinstellungen Ihres Systems, um einen mehrschichtigen Schutz zu gewährleisten.

So behebenwird übersetzt…

Actualice el componente chatgpt-on-wechat CowAgent a la versión 2.0.5 o superior para mitigar la vulnerabilidad de recorrido de directorio. La versión corregida incluye el parche 174ee0cafc9e8e9d97a23c305418251485b8aa89.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-5998 — Path Traversal in chatgpt-on-wechat CowAgent?

Es ist eine Angriffstechnik, die es einem Angreifer ermöglicht, auf Dateien oder Verzeichnisse auf einem Webserver zuzugreifen, auf die er keinen Zugriff haben sollte. Dies wird erreicht, indem der angeforderte Dateipfad manipuliert wird.

Bin ich von CVE-2026-5998 in chatgpt-on-wechat CowAgent betroffen?

Wenn Sie eine Version von CowAgent vor 2.0.5 verwenden, sind Sie wahrscheinlich betroffen. Beachten Sie die CowAgent-Dokumentation, um Anweisungen zu erhalten, wie Sie Ihre installierte Version überprüfen können.

Wie behebe ich CVE-2026-5998 in chatgpt-on-wechat CowAgent?

Wenn Sie nicht sofort aktualisieren können, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. den Zugriff auf den API Memory Content Endpoint einschränken und die Systemprotokolle auf verdächtige Aktivitäten überwachen.

Wird CVE-2026-5998 aktiv ausgenutzt?

Bei der Aktualisierung jeder Software besteht immer ein potenzielles Rückschrittsrisiko. Beachten Sie die CowAgent-Dokumentation für Informationen zu möglichen Inkompatibilitäten und Schritten für eine sichere Aktualisierung.

Wo finde ich den offiziellen chatgpt-on-wechat CowAgent-Hinweis für CVE-2026-5998?

Sie finden weitere Informationen zu CVE-2026-5998 in Schwachstellendatenbanken wie der National Vulnerability Database (NVD) und in der offiziellen CowAgent-Dokumentation.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen